Vulnerabilidad en OTP de Erlang (CVE-2026-23943)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/03/2026
Última modificación:
21/05/2026
Descripción
La vulnerabilidad de Manejo Inadecuado de Datos Altamente Comprimidos (Bomba de Compresión) en Erlang OTP ssh (módulos ssh_transport) permite la denegación de servicio mediante el agotamiento de recursos.<br />
<br />
La capa de transporte SSH anuncia la compresión zlib heredada por defecto e infla cargas útiles controladas por el atacante pre-autenticación sin ningún límite de tamaño, lo que permite una DoS fiable por agotamiento de memoria.<br />
<br />
Dos algoritmos de compresión se ven afectados:<br />
<br />
* zlib: Se activa inmediatamente después del intercambio de claves, lo que permite ataques no autenticados<br />
* zlib@openssh.com: Se activa post-autenticación, lo que permite ataques autenticados<br />
<br />
Cada paquete SSH puede descomprimir ~255 MB de 256 KB de datos en la red (relación de amplificación de 1029:1). Múltiples paquetes pueden agotar rápidamente la memoria disponible, causando eliminaciones por OOM en entornos con memoria limitada.<br />
<br />
Esta vulnerabilidad está asociada con los archivos de programa lib/ssh/src/ssh_transport.erl y las rutinas de programa ssh_transport:decompress/2, ssh_transport:handle_packet_part/4.<br />
<br />
Este problema afecta a OTP desde OTP 17.0 hasta OTP 28.4.1, 27.3.4.9 y 26.2.5.18, lo que corresponde a ssh desde 3.0.1 hasta 5.5.1, 5.2.11.6 y 5.1.4.14.
Impacto
Puntuación base 4.0
6.90
Gravedad 4.0
MEDIA
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* | 17.0 (incluyendo) | 26.2.5.18 (excluyendo) |
| cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* | 27.0 (incluyendo) | 27.3.4.9 (excluyendo) |
| cpe:2.3:a:erlang:erlang\/otp:*:*:*:*:*:*:*:* | 28.0 (incluyendo) | 28.4.1 (excluyendo) |
| cpe:2.3:a:erlang:erlang\/ssh:*:*:*:*:*:*:*:* | 3.0.1 (incluyendo) | 5.1.4.14 (excluyendo) |
| cpe:2.3:a:erlang:erlang\/ssh:*:*:*:*:*:*:*:* | 5.2 (incluyendo) | 5.2.11.6 (excluyendo) |
| cpe:2.3:a:erlang:erlang\/ssh:*:*:*:*:*:*:*:* | 5.5 (incluyendo) | 5.5.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cna.erlef.org/cves/CVE-2026-23943.html
- https://github.com/erlang/otp/commit/0c1c04b191f6ab940e8fcfabce39eb5a8a6440a4
- https://github.com/erlang/otp/commit/43a87b949bdff12d629a8c34146711d9da93b1b1
- https://github.com/erlang/otp/commit/93073c3bd338c60cd2bae715ce6a1d4ffc1a8fd3
- https://github.com/erlang/otp/security/advisories/GHSA-c836-qprm-jw9r
- https://osv.dev/vulnerability/EEF-CVE-2026-23943
- https://www.erlang.org/doc/system/versions.html#order-of-versions



